摘要:默認(rèn)指定了接口的地址和子網(wǎng)掩碼,讓主機(jī)和容器之間可以通過網(wǎng)橋相互通信����。解決方法是創(chuàng)建一對接口,分別放到兩個容器中�,配置成點(diǎn)對點(diǎn)鏈路。點(diǎn)到點(diǎn)鏈路不需要子網(wǎng)和子網(wǎng)掩碼���。
容器訪問控制 檢查本地系統(tǒng)的轉(zhuǎn)發(fā)支持
sysctl net.ipv4.ip_forward
sysctl -w net.ipv4.ip_forward=1 # 手動打開
如果在啟動Docker服務(wù)的時候設(shè)定--ip-forward=true,Docker會自動設(shè)定
容器之間相互訪問���,需要:
1 容器的網(wǎng)絡(luò)拓?fù)涫欠褚呀?jīng)互聯(lián)�,默認(rèn)連接在docker0網(wǎng)橋
2 本地防火墻是否允許通過
訪問所有端口
默認(rèn)情況下����,不同容器之間是允許網(wǎng)絡(luò)互通的, 為了安全�����,可以禁止���。
vim /etc/default/docker
DOCKER_OPTS=--icc=false
訪問指定端口
通過 -icc=false 關(guān)閉網(wǎng)絡(luò)訪問后��,還可以通過 --link=CONTAINER_NAME:ALIAS 來訪問容器的開放端口
容器訪問外部實(shí)現(xiàn)
docker run -p or -P 本質(zhì)是在本地iptables的nat表添加相應(yīng)的規(guī)則
iptables -t nat -nL # 查看主機(jī)的NAT規(guī)則
如果希望永久綁定到某個固定的IP地址
vim /etc/docker/daemon.json
{
"ip":"0.0.0.0"
}
配置docker0網(wǎng)橋
Docker服務(wù)默認(rèn)會創(chuàng)建一個docker0網(wǎng)橋�����,在內(nèi)核層聯(lián)通了其他的物理或者虛擬網(wǎng)卡��,將所有的容器和本地主機(jī)都放到同一個物理網(wǎng)絡(luò)�����。
Docker默認(rèn)指定了docker0接口的IP地址和子網(wǎng)掩碼����,讓主機(jī)和容器之間可以通過網(wǎng)橋相互通信。
查看網(wǎng)橋和端口連接信息
yum install bridge-utils -y
brctl show
每次新創(chuàng)建一個容器的時候���,Docker從可用的地址段中選擇一個空閑的IP分配給容器的eth0端口�,使用本地的docker0接口IP作為所有容器的默認(rèn)網(wǎng)關(guān)�����。
sudo docker run -it --rm base /bin/bash
ip addr show eth0
ip route
自定義網(wǎng)橋
啟動Docker服務(wù)時使用 -b BRIDGE 或 --bridge=BRIDGE 來指定使用的網(wǎng)橋
若服務(wù)已運(yùn)行����,先停止服務(wù)并刪除舊的網(wǎng)橋
sudo systemctl stop docker
sudo ip link set dev docker0 down
sudo brctl delbr docker0
然后創(chuàng)建一個新的網(wǎng)橋bridge0
sudo brctl addbr bridge0
sudo ip addr add 192.168.5.1/24 dev bridge0
sudo ip link set dev bridge0 up
ip addr show bridge0 # 查看確認(rèn)網(wǎng)橋創(chuàng)建并啟動
vim /etc/docker/daemon.json 將Docker默認(rèn)橋接到創(chuàng)建的網(wǎng)橋上��。
{
"bridge": "bridge0",
}
外部工具
pipework # shell腳本�����,可以幫助用戶在比較復(fù)雜的場景中完成容器的連接
playground Docker容器網(wǎng)絡(luò)拓?fù)涔芾淼腜ython庫�����,包括路由器�、NAT防火墻,以及其他一些基本服務(wù)��。
編輯網(wǎng)絡(luò)配置文件
Docker 1.2.0以后支持在運(yùn)行中的容器編輯 /etc/hosts��, /etc/hostname, /etc/resolve.conf文件
但是這些修改都是臨時的���,只在運(yùn)行中的容器中保留。
創(chuàng)建點(diǎn)對點(diǎn)的連接
用戶需要有時候在兩個容器之間可以直連通信��,而不用通過主機(jī)網(wǎng)橋進(jìn)行橋接��。
解決方法是:創(chuàng)建一對peer接口�,分別放到兩個容器中,配置成點(diǎn)對點(diǎn)鏈路��。
1 啟動兩個容器
docker run -it --rm --net=none base /bin/bash
docker run -it --rm --net=none base /bin/bash
2 找到進(jìn)程號���,然后創(chuàng)建網(wǎng)絡(luò)命名空間的跟蹤文件
docker inspect -f "{{.State.Pid}}" e9f076fc2447
docker inspect -f "{{.State.Pid}}" 762086c10c65
sudo mkdir -p /var/run/netns
sudo ln -s /proc/2989/ns/net /var/run/netns/2989
sudo ln -s /proc/3004/ns/net /var/run/netns/3004
3 創(chuàng)建一對peer接口���,然后配置路由
sudo ip link add A type veth peer name B
sudo ip link set A netns 2989
sudo ip netns exec 2989 ip addr add 10.1.1.1/32 dev A
sudo ip netns exec 2989 ip link set A up
sudo ip netns exec 2989 ip route add 10.1.1.2/32 dev A
sudo ip link set B netns 3004
sudo ip netns exec 3004 ip addr add 10.1.1.1/32 dev B
sudo ip netns exec 3004 ip link set B up
sudo ip netns exec 3004 ip route add 10.1.1.2/32 dev B
到此2個容器可以相互ping通,并成功建立連接��。點(diǎn)到點(diǎn)鏈路不需要子網(wǎng)和子網(wǎng)掩碼��。
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/27483.html
